Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)
:strip_exif()/u/2043/313546.gif?f=community)
Weinig tot niets. DDoS komt van vele hosts vandaan. Het is dus niet even een iptje blocken in je routers of iets dergelijks.
Weinig kans ook dat ze actie voor je zullen nemen als je maar een 'kleine' gebruiker bent van hun netwerk. Behalve uiterharry als hun eigen netwerk op z'n dak gaat.
Weinig kans ook dat ze actie voor je zullen nemen als je maar een 'kleine' gebruiker bent van hun netwerk. Behalve uiterharry als hun eigen netwerk op z'n dak gaat.
edit:
Weer ff een oud linkje terug gevonden.. Dit is wel interesante kost om te lezen
http://grc.com/dos/grcdos.htm
Weer ff een oud linkje terug gevonden.. Dit is wel interesante kost om te lezen
http://grc.com/dos/grcdos.htm
/u/1830/acm.png?f=community)
DDoS is een verzamelterm. Je hebt in principe 2 soorten remote DDoS-attacks:
1) Een attack waardoor de netwerkverbinding verzadigt raakt met overbodig/zinloos verkeer, zodat de dienst die geleverd zou moeten worden door de server niet of nauwelijks geleverd kan worden.
2) Een attack waardoor de server-resources sterk verminderd worden, dit houdt bijvoorbeeld het vullen van de harde schijf in zodat er geen nieuwe files meer geupload kunnen worden naar een webserver, maar kan ook vullen van geheugen/swap of simpele CPU-overbelasting zijn.
Tegen de eerste is niet altijd wat te doen. Dit hangt af van wat voor soort verkeer het is. Een ICMP-attack is vrij simpel tegen te gaan, aangezien ICMP niet noodzakelijk is om webpagina's te serveren. Dit soort aanvallen kunnen op de border-router van de ISP tijdelijk geblokkeerd worden. Let wel op de CPU-belasting van de router
De meeste attacks gebeuren tegenwoordig echter met TCP-verkeer, packets met de SYN-flag gezet (die worden verstuurd om een connectie op te zetten) of packets met alleen ACK-flag gezet (die worden normaal tijdens een verbinding gestuurd). Deze zijn niet te blocken door een router, aangezien ze nodig zijn voor je webserver. Doorgaans zijn deze attacks ook nog eens gespoofed, zodat filteren op IP (wat opzichzelf al twijfelachtig is) ook niet kan. Bij zware aanvallen wordt doorgaans het target-IP in de borderrouter genullroute, zodat het verkeer daar zonder al te veel CPU-tijd van de router te trekken wordt gedropped. Uiteraard heb je op dat moment weinig meer aan de webserver, maar je ISP heeft iig niet z'n eigen netwerk plat.
De tweede soort aanval kan dmv. limieten op de server en tunen/platgooien van daemons tegengegaan worden. Ook kun je de aanvallende IP-adressen lokaal proberen te firewallen als je ziet dat er bijv. constant 1 bepaald .php filetje opgevraagd wordt. Dit hangt dus allemaal nogal af van wat voor soort aanval er wordt gedaan.
Hoop dat je hier wat aan hebt
1) Een attack waardoor de netwerkverbinding verzadigt raakt met overbodig/zinloos verkeer, zodat de dienst die geleverd zou moeten worden door de server niet of nauwelijks geleverd kan worden.
2) Een attack waardoor de server-resources sterk verminderd worden, dit houdt bijvoorbeeld het vullen van de harde schijf in zodat er geen nieuwe files meer geupload kunnen worden naar een webserver, maar kan ook vullen van geheugen/swap of simpele CPU-overbelasting zijn.
Tegen de eerste is niet altijd wat te doen. Dit hangt af van wat voor soort verkeer het is. Een ICMP-attack is vrij simpel tegen te gaan, aangezien ICMP niet noodzakelijk is om webpagina's te serveren. Dit soort aanvallen kunnen op de border-router van de ISP tijdelijk geblokkeerd worden. Let wel op de CPU-belasting van de router
De meeste attacks gebeuren tegenwoordig echter met TCP-verkeer, packets met de SYN-flag gezet (die worden verstuurd om een connectie op te zetten) of packets met alleen ACK-flag gezet (die worden normaal tijdens een verbinding gestuurd). Deze zijn niet te blocken door een router, aangezien ze nodig zijn voor je webserver. Doorgaans zijn deze attacks ook nog eens gespoofed, zodat filteren op IP (wat opzichzelf al twijfelachtig is) ook niet kan. Bij zware aanvallen wordt doorgaans het target-IP in de borderrouter genullroute, zodat het verkeer daar zonder al te veel CPU-tijd van de router te trekken wordt gedropped. Uiteraard heb je op dat moment weinig meer aan de webserver, maar je ISP heeft iig niet z'n eigen netwerk plat.
De tweede soort aanval kan dmv. limieten op de server en tunen/platgooien van daemons tegengegaan worden. Ook kun je de aanvallende IP-adressen lokaal proberen te firewallen als je ziet dat er bijv. constant 1 bepaald .php filetje opgevraagd wordt. Dit hangt dus allemaal nogal af van wat voor soort aanval er wordt gedaan.
Hoop dat je hier wat aan hebt
Verwijderd
voor een ddos attack (1st kind) hebben we in onze contracten een clausule opgenomen dat we de firewall dichtgooien. niemand kan dan de server(s) nog bereiken. en dit gaat niet ten koste van onze downtime ... je kan er echt weinig tegen doen omdat ddos attacks valid request zijn!!!
... je kan er echt weinig tegen doen omdat ddos attacks valid request zijn!!!
/u/4856/crop5d87d7d621fda.png?f=community)
Gewoon de ddos gevoelige servers in een apparte c-class gooien (/24) en wanneer je merkt dat ie gedossed wordt, de hele c-class uit de bgp routing halen.
Op die manier weet de aanvallende partij niet meer waar de packages heen moeten, en krijg jij geen rekening voor de traffic
Helaas is alles dan wel even plat
Op die manier weet de aanvallende partij niet meer waar de packages heen moeten, en krijg jij geen rekening voor de traffic
Helaas is alles dan wel even plat
Pagina: 1